Como parte do processo de design da implantação dos Serviços de Federação do Active Directory (AD FS), identifique o tipo de aplicativo federado que deseja proteger com AD DS. Para que um aplicativo seja federado, ele deve ser de, pelo menos, um dos tipos de aplicativos descritos nas seguintes seções.

Para aprender mais sobre o suporte aprimorado a aplicativo nesta versão do AD FS, veja as novidades do AD FS em Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684).

Aplicativo com reconhecimento de declarações

Declarações são afirmações (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) feitas sobre os usuários — e entendidas pelos parceiros em uma federação no AD FS — usadas para fins de autorização em um aplicativo.

Um aplicativo com reconhecimento de declarações é um aplicativo do Microsoft ASP.NET que foi criado com a biblioteca de classes do AD FS. Este tipo de aplicativo é totalmente capaz de usar as declarações do AD FS para tomar decisões de autorização diretamente. Um aplicativo com reconhecimento de declarações aceita as declarações que o Serviço de Federação envia nos tokens de segurança do AD FS. Para obter mais informações sobre como o Serviço de Federação usa tokens de segurança e declarações, consulte Noções básicas sobre o Serviço de Função Serviço de Federação.

Mapeamento de declaração é o ato de mapear, remover ou filtrar, ou transmitir declarações de entrada para declarações de saída. O mapeamento de declaração não ocorre quando as declarações são enviadas para um aplicativo. Em vez disso, somente as declarações da organização especificadas pelo administrador do Serviço de Federação no parceiro de recurso são enviadas para o aplicativo. (As declarações da organização são as declarações em formato intermediário ou normalizado dentro do namespace de uma organização). Para obter mais informações sobre declarações e mapeamento de declarações, consulte Noções básicas sobre declarações.

A lista a seguir descreve as declarações da organização que os aplicativos de reconhecimento de declaração podem usar:

  • Declarações de identidade (UPN, email, nome comum)

    Ao configurar o aplicativo, você especifica qual dessas declarações de identidade será enviada para o aplicativo. Nenhum mapeamento ou filtragem é realizado.

  • Declarações de grupo

    Ao configurar o aplicativo, você especifica as declarações de grupo de organização que serão enviadas para o aplicativo. As declarações de grupo de organização que não estiverem designadas para ser enviadas para o aplicativo serão descartadas.

  • Declarações personalizadas

    Ao configurar o aplicativo, você especifica as declarações personalizadas de organização que serão enviadas para o aplicativo. As declarações personalizadas de organização que não estiverem designadas para ser enviadas para o aplicativo serão descartadas.

Autorização de reconhecimento de declaração

Uma autorização de reconhecimento de declaração consiste em um módulo HTTP e objetos para consultar as declarações que são transportadas no token de segurança do AD FS. Só há suporte para a autorização de reconhecimento de declaração nos aplicativos do Microsoft ASP.NET.

O módulo HTTP processa mensagens do protocolo AD FS com base em definições de configuração no arquivo Web.config do aplicativo da Web. As páginas da Web realizam tarefas de autenticação e autorização. O módulo HTTP também autentica cookies e obtém declarações dos cookies.

Aplicativo baseado no token do Windows NT

Um aplicativo baseado no token do Windows NT é um aplicativo do IIS (Serviços de Informações da Internet) que foi gravado para usar mecanismos de autorização tradicionais nativos do Windows. Este tipo de aplicativo não está preparado para consumir declarações do AD FS.

Os aplicativos baseados no token do Windows NT podem ser utilizados por usuários do Windows a partir do realm local ou de qualquer realm que seja de confiança do realm local, ou seja, somente por usuários que podem fazer logon no computador com mecanismos de autenticação baseada no token do Windows NT.

Observação

Nos designs de federação, isso significa que as contas de recursos ou os grupos de recursos podem ser necessários para a autenticação baseada no token do Windows NT.

O token de segurança do AD FS enviado para o agente baseado no token do Windows NT pode conter um dos seguintes tipos de declarações:

  • Uma declaração de UPN (nome principal do usuário) para o usuário

  • Uma declaração de email para o usuário

  • Uma declaração de grupo

  • Uma declaração personalizada para o usuário

  • Uma declaração de UPN, email, grupo ou personalizada contendo os identificadores de segurança (SIDs) da conta do usuário. (Isso somente se aplica quando a opção Confiança do Windows está habilitada).

O servidor Web habilitado para AD FS gera um token de acesso em nível de representação do Windows. Um token de acesso em nível de representação captura as informações de segurança de um processo de cliente, possibilitando que um serviço "represente" esse processo em operações de segurança.

Em aplicativos da Web baseados no token do Windows NT, a ordem do processo a seguir determina como um token do Windows NT é criado:

  1. Se o token de SAML contiver SIDs no elemento de instrução do SAML, os SIDs serão usados para gerar o token do Windows NT.

  2. Se o token de SAML não contiver SIDs e, em vez disso, uma declaração de identidade UPN, uma declaração de UPN será usada para gerar o token do Windows NT.

  3. Se o token de SAML não contiver SIDs e a declaração de identidade UPN na declaração de identidade de email estiver presente, ele será interpretado como um UPN e será usado para gerar o token do Windows NT.

Este comportamento independe de a declaração de identidade UPN ou de email ser especificada como a declaração de identidade que é usada para gerar o token do Windows NT quando a entrada da diretiva de confiança para o aplicativo Web é criada no Serviço de Federação.

Autorização tradicional baseada no Windows

O suporte para converter um token de segurança do AD FS em um token de acesso ao Windows NT de nível de representação requer diversos componentes:

  • Extensão da interface de programação de aplicativos de servidores da Internet (ISAPI): Este componente verifica se há cookies do AD FS, se há tokens de segurança do AD FS do Serviço de Federação, executa os redirecionamentos de protocolo apropriados e grava os cookies necessários para que o AD FS funcione.

  • Pacote de autenticação do AD FS: O pacote de autenticação do AD FS gera um token de acesso de nível de representação, dado a um UPN para uma conta de domínio. O pacote requer que o chamador possua o privilégio TCB (Trusted Computing Base).

  • As páginas de propriedades Agente Web do AD FS e URL dos Serviços de Federação no snap-in Gerenciador do IIS: você pode usar essas páginas de propriedades para administrar diretivas e certificados para verificação de cookies e do token de segurança do AD FS.

  • Serviço de Autenticação do Agente Web do AD FS: O Serviço de Autenticação do Agente Web do AD FS é executado como Sistema Local para gerar um token usando o Service-for-User (S4U) ou o pacote de autenticação do AD FS. Entretanto, não é necessário que o pool de aplicativos dos Serviços de Informações da Internet (IIS) seja executado como Sistema Local. O Serviço de Autenticação do Agente Web do AD FS possui interfaces que podem ser chamadas somente por LRPC (chamada de procedimento remoto local) e não por RPC (chamada de procedimento remoto). O serviço retorna um token de acesso ao Windows NT de nível de representação se for dado a ele um token de segurança do AD FS ou um cookie do AD FS.

  • Filtro ISAPI do Agente Web do AD FS: Determinados aplicativos da Web tradicionais do IIS usam um filtro ISAPI que modifica dados de entrada, como URLs (Uniform Resource Locators). Se este for o caso, o Filtro ISAPI do Agente Web do AD FS deve estar habilitado e configurado como o filtro de maior prioridade. Esse filtro não está habilitado por padrão.


Sumário